掃描與詐欺:行動條碼詐欺
犯罪分子向來善於利用新技術的「尖端領域」。19 世紀中葉,有組織犯罪集團利用剛剛誕生的電報,聯繫不在當地司法管轄範圍內的犯罪活動。20 世紀初,有組織犯罪分子借助汽車快速逃離現場,還將其用作運輸盜竊物品的「工具」。1 1990 年代,兒童剝削及販毒犯罪分子利用網際網路傳播兒童性虐待內容、銷售非法毒品。2 在這三個案例中,犯罪網絡先於「主流」社會運用相關技術,就是為了領先執法機關一步。 快速回應碼與詐欺 我們購買的產品會標示通用產品條碼,而快速回應碼(行動條碼)是其變異版。1990 年代初期,日本工程師原昌宏發明行動條碼,並將這種代碼格式用於追蹤日本汽車製造供應鏈中的零組件。行動條碼主要分為兩類:靜態(儲存固定資訊)和動態(可變更資訊)。在行動條碼中,資料被排列成黑白像素,只要經過智慧手機攝影鏡頭或其他掃描設備掃描,就能完成解讀。行動條碼為二進制形式,黑色部分表示 1,白色部分表示 0。靜態行動條碼就像個人名片,而動態行動條碼則像個人網站(易於更新)。非接觸式和簡單便捷,通常表示沒有實體界限、中介機構等「阻礙」。實體界限和中介機構能在一定程度上保障安全,凍結或撤銷安全存疑的交易。 以自動櫃員機 (ATM) 為例。銀行客戶可以利用自動櫃員機提取現金,無須在「銀行營業時間」親自趕往銀行辦理。這為客戶帶來了便利,也為銀行降低人力成本。然而,這種操作流程簡化也有其劣勢。不法分子可能「踩點」自動櫃員機的位置,然後瞄準銀行客戶實施搶劫,因此,客戶的人身安全風險也隨之升高。由於缺少銀行櫃員的實地監看,犯罪分子得以避開相關人員(好人)視線並利用該系統。行動條碼也難逃這種趨勢。需要說明的是,行動條碼不會遭到駭客攻擊。駭客若要篡改,必須修改黑白二進制模式,而如果不瞭解實際行動條碼背後的明文,僅憑肉眼根本無法讀取。3 即便如此,犯罪分子仍有其他手段破壞行動條碼以達成其非法目的。 行動條碼釣魚 (quishing) 攻擊產生了大量行動條碼相關詐欺。Security 報告稱,相比 2023 年 1 月至 8 月的累計數量,2023 年 9 月的行動條碼網路釣魚事件增長了 51%。4 與其他金融相關詐欺類似,行動條碼網路釣魚極易導致帳戶盜用和數位支付詐欺。 行動條碼詐欺的實際操作 肉眼無法直接辨別惡意行動條碼,這為不法分子提供了顯著便利。 由於公眾逐漸習慣忽略和(可能)刪除電子郵件中引導受害者跳轉至詐欺網站的惡意網址 (URL) 連結,犯罪分子開始利用條碼的「下一代」版本——行動條碼。當配備相機的智慧手機廣泛使用,以及行動條碼的實用功能性,無論是活動門票、廣告和餐廳菜單中隨處可見行動條碼。犯罪分子可將惡意行動條碼覆蓋在合法行動條碼上,將掃描者引導至要求提供個人資訊的網站,進而實施身分盜用。 2023 年 11 月,金融犯罪稽查局 (FinCEN) 發布警告,提醒人們注意不法分子發出主旨為「重要法規遵循通知」並附帶行動條碼的電子郵件或實體通訊。這起詐欺事件發生的背景是,金融犯罪稽查局根據 2024 年 1 月《公司透明法案》(CTA)...